何时
无论什么时候发现系统安全的漏洞,你都应该安装补丁进行更新。每年最少应该检查并且更新交换机的安全策略一次。
何因
如果没有采取充分的安全措施,连接到因特网上的企业网络是很容易受到攻击的。如果你已经读过前几期的关于防火墙和路由器的安全策略,那么这条信息看起来应该相当熟悉。而且,和以前一样,这些规则适用于所有的交换机,而不管你偏爱何种交换机。
策略
国家安全局系统和网络攻击中心(SNAC)编写了一篇关于思科IOS交换机的安全配置向导,该向导在三个层次上讨论安全和交换机配置:接入层、分布层和核心层。
这里列举了一些通用安全清单以供参考:
运用安全策略保护系统中的所有交换机,包括操作系统、密码、管理端口、网络服务、端口安全、系统漏洞、虚拟局域网、生成树协议、访问 控制列表、日志和调试以及认证、授权和计费。
控制交换机的物理访问端口。
在每一台交换机上安装最新版本的互连网络操作系统IOS。
设置"enable secret"密码。
带外管理交换机。如果不能实现的话,可以利用单独的VLAN号进行带内管理。
设置会话时限并且设置优先级。
明确禁止未经授权的访问。
使能并且安全地配置必要的网路服务;关闭不必要的网络服务。
为SSH设置更安全的密码,然后利用SSH代替telnet进行远程管理。
如果需要使用SNMP协议的话,为SNMP设置更难以破解的community字符串。
限制基于MAC地址的访问来保护端口安全,关闭端口的自动中继功能。
利用交换机的端口镜像功能实现网络入侵检测系统对数据的访问。
关闭没有使用的交换机端口并且为它们分配一个无用的VLAN号。
为中继端口分配一个没有被其他端口占用的本地VLAN号。
限制中继端口能传输的VLAN数。
利用静态VLAN配置功能。
可能的话,关闭VTP功能。否则,设置VTP的管理域、密码和Pruning功能,然后将VTP设置为透明传输模式。
适当的使用访问控制列表。
使能日志功能,并且将日志文件专门放到一台安全的日志主机上。
使用NTP和时间戳来标记日志文件的时间信息。
定期查看日志文件以预防可能发生的事故,依照安全策略将日志文件存档。
使用AAA认证来保护对交换机的本地和远程访问。
对交换机配置文件进行脱机安全备份,并且限制对配置文件的访问。同时应该对不同的配置添加描述性注释以方便查看。